自治体でのテレワーク環境を構築するために。求められるセキュリティ対策と具体的な導入方法
この記事の内容
働き方改革の推進に加え、昨今の新型コロナウイルス感染症(COVID-19)が急速な拡大に伴い、民間企業だけでなく、全国の自治体においてもテレワーク環境の構築は必至です。
しかし、三層分離による強固なセキュリティ対策により、自治体でのテレワーク導入は課題が多く存在します。そんな中、2020年8月に総務省より自治体でのテレワークを実現するための新たな指針が発表されました。
そこで今回、あらためて自治体のテレワーク導入の取り組みの経緯を振り返り、そして具体的にどのようにしてテレワーク導入を実現すべきか、ソリトンシステムズ ITセキュリティ事業部 プロダクト&サービス統括本部の横山幸司、小川あさぎに話を聞きました。
三層分離による強固なセキュリティ、閉域SIM等の準備など、自治体でのテレワーク導入は課題が山積みであった
―― 2020年8月に自治体でのテレワーク導入に関する新しい指針が発表されましたが、あらためて自治体でのテレワーク導入の取り組みにおける、これまでの経緯を教えて下さい。
横山:2016年に働き方改革の政策がスタートしたことにより、自治体でのテレワーク導入もキーワードとして挙がっていました。当然ながら少子高齢化による労働人口の減少、また子育てや介護といった労働環境を取り巻く課題は自治体も抱えていますので、働き方改革の一環としてのテレワーク導入は、自治体にとっても意義があると考えられます。
しかし、2015年に起きた日本年金機構の情報漏えい事件を受けて、総務省から自治体のセキュリティ強靭化のガイドラインが公表されており、ガイドラインに沿った自治体の環境で、テレワークを導入するのは困難でした。
全国の自治体はインターネット接続系ネットワーク、日々の業務を行うLGWAN接続系ネットワーク、そして住基ネットに接続して個人情報等を扱うマイナンバー利用事務系ネットワークの3つに分ける、三層分離による強固なセキュリティ対策が求められていたので、テレワーク導入というのはあまり現実的ではなく、具体的なガイドラインも示されていませんでした。
総務省より「自治体職員による庁内情報環境へのへのリモートアクセスに関するセキュリティ要件について(中間報告)」が通知されたのが、2020年1月です。こちらの中間報告には、「インターネット回線ではなく、閉域網でのアクセス(閉域SIMの利用)」「庁内の貸し出し端末を利用すること」といったことが指示されていました。ただ、この時点では導入コストの課題やセキュリティの不安もあり、実際にテレワークを導入した自治体はそう多くはありませんでした。
そんな中、世界中で新型コロナウイルス感染症(COVID-19)が急速に拡大し、日本においても緊急事態宣言の発令によって、多くの企業がテレワークを導入していきました。それによって、市場ではテレワーク環境を構築するためのPCの品不足や閉域SIM、工事業者の手配困難が発生してしまい、インターネット回線から業務端末へアクセスできない自治体職員はテレワークを推進していくことが難しい状況でした。
しかし自治体職員の間でも感染者が出てしまうなど、いよいよ自治体においてもテレワークをせざるを得ない状況もあり、2020年8月に総務省から『新型コロナウィルスへの対応等を踏まえたテレワークセキュリティ要件について』という、自治体におけるテレワーク導入の新しい指針が発表されました。
新しい指針では閉域網でのアクセス以外に、「LGWAN-ASPサービスを利用」と「クラウドサービスなどインターネット接続系を経由した利用」の2つが示されました。
新たに発表された閉域網以外でのアクセス方法とは。テレワーク導入に必要なセキュリティ対策について
―― 総務省から新たに発表された「LGWAN-ASPサービスを利用」「クラウドサービスなどインターネット接続系を経由した利用」それぞれが、どういった方式なのか教えて下さい。
横山:まず「LGWAN-ASPサービスを利用」する方式に関しては、サービスプロバイダを経由してLGWAN系ネットワークに接続する形になります。発表されたタイミングでは「実証実験」としての期間が限定されたものしかありませんでした。
また、セキュリティの観点から画面転送での操作をすべきなのですが、LGWAN系ネットワークを使用してのテレワークとなるため、自治体によっては基幹系システムに影響が出るなど、ネットワークの負荷が課題となる場合がありました。
そしてもうひとつの「クラウドサービスなどインターネット接続系を経由して利用」する方式は、LGWAN-ASPサービスを利用する方式と違い、インターネット接続系経由でLGWAN環境にアクセスする方式です。
クラウドサービス事業者側で、ガイドラインで指示されたルールに遵守する方法を提供できていれば、自治体は様々な業者から自由に選ぶことが可能です。ネットワーク構成を大きく変える必要がないため、テレワーク環境をすばやく構築できます。
―― そうしたクラウドサービスでは、どういったセキュリティ対策が求められるのでしょうか?
小川:テレワーク環境でLGWAN系にアクセスするということで、細心の注意を払わなければならないのは情報漏えいをいかに防ぐか。テレワーク端末に情報を残さない画面転送でのアクセスは、必須の技術要件とされています。
接続先のPC画面だけを表示させて遠隔操作する形になるため、手元の端末で印刷したり、データ保存するといったことができず、情報漏えいを防ぐことができます。
またガイドラインでは、多要素認証は必須とされています。IDとパスワードのみの認証方式を採用しているケースも多くあると思うのですが、IDとパスワードの流出事案は後を絶ちません。そのため、IDとパスワード以外にも電子証明書や生体認証など、多要素認証によるなりすまし防止のセキュリティ強化が求められます。
なお、運用面やコスト面を考えると、電子証明書での認証は安全性と利便性が高いと言えます。
そして多くの自治体では、貸し出し端末での運用を行っているかと思います。持ち運びの頻度が増えることで、端末を紛失してしまう可能性もあるわけですが、たとえば弊社が提供している『Soliton SecureDesktopサービス』であれば、電子証明書のコピー防止、またリモートでの電子証明書の失効が可能なため、万が一端末を紛失してしまったとしても、即座に電子証明書を失効し、情報漏えいを防ぐことができるようになっています。
クラウドサービス、オンプレミスどちらでも構築が可能。セキュアで利便性の高いテレワーク実現のために
―― あらためて『Soliton SecureDesktopサービス』がどういった製品なのか、教えて下さい。
小川:『Soliton SecureDesktopサービス』は、ガイドラインで指示されている「インターネット接続系を経由した利用」を実現するクラウドサービスで、大きく3つの特徴があります。
1つ目は、いますぐにテレワークを実現しなければいけないという状況であっても、簡単で素早い導入が可能な点です。お申し込み状況にもよりますが、基本的にはお申し込み受理後5営業日でのサービス提供が可能です。
またスタートアップガイドに従っていくだけで設定ができるため、IT知識のない方であっても簡単に導入いただけます。
2つ目に、安心してご利用いただけるセキュリティ機能です。電子証明書による認証はもちろん、画面転送型のクラウドサービスになりますので、テレワーク端末にはデータが残らない仕様となっています。
さらにセキュリティ製品を提供する多くの企業は海外企業であったりする中、弊社は日本企業ですので、日本語サポートが充実しており、データセンターも国内にあり、完全国産製品となっております。
そして3つ目が、大規模ユーザーでもご利用可能であることです。たとえば県庁など職員数が多い環境でも対応可能で、実際に1,000人を超えるような自治体ですでにご利用いただいております。
また、独自のストリーミング技術による高速画面転送で、職員の方の業務を阻害することなく、高いパフォーマンスを実現しています。こうした特徴を気に入っていただき、おかげさまで現在は自治体含め、150以上の公共団体でご導入いただいています。
横山:なお、クラウドサービスは事業者のポリシーに従わないといけないため、「自治体独自の運用ルールやポリシーに従ってカスタマイズしたい」というケースもあるでしょう。
『Soliton SecureDesktop』はクラウドサービスのみならず、閉域網を用いたオンプレミスでのテレワーク環境構築も可能です。認証アプライアンス『NetAttest EPS』との併用により、電子証明書認証を用いたより安全なテレワーク環境を整備できます。実際にクラウドサービスを気に入っていただけて、オンプレミスに移行される自治体もいらっしゃいます。
また、現在は市場でのPCの品不足や閉域SIM、工事業者の手配困難という問題は解決されていますので、はじめからオンプレミスでテレワーク環境を構築したいという場合でも対応可能です。
やはり、働き方改革の推進や新型コロナウイルス感染症(COVID-19)の拡大によって国がテレワークを推奨している以上、自治体においてもテレワーク実現は急務とも言えます。ソリトンシステムズは、そうした各自治体の課題感や現場での声を大切にし、クラウドサービスおよびオンプレミスどちらでもテレワーク環境の構築をご支援いたします。